ما هي إدارة الوصول والهوية؟
إدارة الهوية والوصول (IAM) هي إطار للعمليات التجارية والسياسات والتقنيات التي تسهل إدارة الهويات الإلكترونية أو الرقمية. مع وجود إطار عمل IAM ، يمكن لمديري تكنولوجيا المعلومات (IT) التحكم في وصول المستخدم إلى المعلومات الهامة داخل مؤسساتهم. تشمل الأنظمة المستخدمة في IAM أنظمة تسجيل الدخول الأحادي ، والمصادقة الثنائية ، والمصادقة متعددة العوامل ، وإدارة الوصول المميزة. توفر هذه التقنيات أيضًا القدرة على تخزين بيانات الهوية والملف الشخصي بشكل آمن بالإضافة إلى وظائف إدارة البيانات لضمان مشاركة البيانات الضرورية وذات الصلة فقط.
يمكن نشر أنظمة IAM في أماكن العمل ، والتي يتم توفيرها من قبل مورد خارجي من خلال نموذج اشتراك قائم على السحابة أو نشرها في نموذج مختلط.
على المستوى الأساسي ، تشمل IAM المكونات التالية:
كيف يتم تحديد الأفراد في النظام (فهم الفرق بين إدارة الهوية والمصادقة) ؛
كيف يتم تحديد الأدوار في النظام وكيف يتم تخصيصها للأفراد ؛
إضافة وحذف وتحديث الأفراد وأدوارهم في النظام ؛
تحديد مستويات الوصول للأفراد أو مجموعات الأفراد ؛ و
حماية البيانات الحساسة داخل النظام وتأمين النظام نفسه.
لماذا IAM مهم؟
يتعرض قادة الأعمال وأقسام تكنولوجيا المعلومات لضغوط تنظيمية وتنظيمية متزايدة لحماية الوصول إلى موارد الشركة. ونتيجة لذلك ، لم يعد بإمكانهم الاعتماد على العمليات اليدوية والمعرضة للأخطاء لتعيين امتيازات المستخدم وتتبعها. تقوم IAM بأتمتة هذه المهام وتمكين التحكم في الوصول الدقيق ومراجعة جميع أصول الشركة في أماكن العمل وفي السحابة.
IAM ، التي لديها قائمة متزايدة باستمرار من الميزات - بما في ذلك القياسات الحيوية وتحليلات السلوك والذكاء الاصطناعي - مناسبة تمامًا لقسوة المشهد الأمني الجديد. على سبيل المثال ، تتماشى سيطرة IAM الصارمة على الوصول إلى الموارد في البيئات عالية التوزيع والديناميكية مع انتقال الصناعة من جدران الحماية إلى نماذج انعدام الثقة ومع متطلبات الأمان لإنترنت الأشياء. لمزيد من المعلومات حول مستقبل أمان إنترنت الأشياء.
المكونات الأساسية لـ IAM
يمكّن إطار عمل IAM تكنولوجيا المعلومات من التحكم في وصول المستخدم إلى المعلومات الهامة داخل مؤسساتهم. تقدم منتجات IAM التحكم في الوصول المستند إلى الأدوار ، والذي يتيح لمسؤولي النظام تنظيم الوصول إلى الأنظمة أو الشبكات بناءً على أدوار المستخدمين الفرديين داخل المؤسسة.
في هذا السياق ، الوصول هو قدرة المستخدم الفردي على أداء مهمة معينة ، مثل عرض ملف أو إنشائه أو تعديله. يتم تحديد الأدوار وفقًا للوظيفة والسلطة والمسؤولية داخل المؤسسة.
يجب أن تقوم أنظمة IAM بما يلي: التقاط معلومات تسجيل دخول المستخدم وتسجيلها ، وإدارة قاعدة بيانات المؤسسة لهويات المستخدمين ، وتنسيق تعيين امتيازات الوصول وإزالتها.
وهذا يعني أن الأنظمة المستخدمة لـ IAM يجب أن توفر خدمة دليل مركزية مع الإشراف والرؤية لجميع جوانب قاعدة مستخدمي الشركة.
الهويات الرقمية ليست للبشر فقط. يمكن لـ IAM إدارة الهويات الرقمية للأجهزة والتطبيقات للمساعدة في بناء الثقة.
في السحابة ، يمكن التعامل مع IAM من خلال المصادقة كخدمة أو هوية كخدمة (IDaaS). في كلتا الحالتين ، يتحمل موفر خدمة الطرف الثالث عبء مصادقة المستخدمين وتسجيلهم ، بالإضافة إلى إدارة معلوماتهم.
فوائد IAM
يمكن استخدام تقنيات IAM لبدء وتسجيل وتسجيل وإدارة هويات المستخدمين وأذونات الوصول ذات الصلة بطريقة آلية. تحصل المنظمة على مزايا IAM التالية:
يتم منح امتيازات الوصول وفقًا للسياسة ، ويتم مصادقة جميع الأفراد والخدمات بشكل صحيح ، والتصريح والتدقيق.
تتمتع الشركات التي تدير الهويات بشكل صحيح بتحكم أكبر في وصول المستخدم ، مما يقلل من مخاطر انتهاكات البيانات الداخلية والخارجية.
تسمح أتمتة أنظمة IAM للشركات بالعمل بكفاءة أكبر عن طريق تقليل الجهد والوقت والمال المطلوب لإدارة الوصول إلى شبكاتهم يدويًا.
فيما يتعلق بالأمان ، يمكن أن يؤدي استخدام إطار عمل IAM إلى تسهيل فرض السياسات حول مصادقة المستخدم والتحقق من الصحة والامتيازات ومعالجة المشكلات المتعلقة بتسلل الامتيازات.
تساعد أنظمة IAM الشركات على الامتثال بشكل أفضل للوائح الحكومية من خلال السماح لها بإظهار عدم إساءة استخدام معلومات الشركة. يمكن للشركات أيضًا إثبات أن أي بيانات مطلوبة للتدقيق يمكن إتاحتها عند الطلب.
يمكن للشركات اكتساب مزايا تنافسية من خلال تطبيق أدوات IAM واتباع أفضل الممارسات ذات الصلة. على سبيل المثال ، تسمح تقنيات IAM للأعمال بمنح المستخدمين خارج المؤسسة - مثل العملاء والشركاء والمقاولين والموردين - إمكانية الوصول إلى شبكتها عبر تطبيقات الهاتف المحمول والتطبيقات المحلية و SaaS دون المساس بالأمن. يتيح ذلك تعاونًا أفضل وإنتاجية محسّنة وزيادة الكفاءة وتقليل تكاليف التشغيل.
تقنيات وأدوات IAM
تم تصميم تقنيات IAM لتبسيط عملية توفير المستخدم وإعداد الحساب. يجب أن تقلل هذه الأنظمة من الوقت الذي تستغرقه لإكمال هذه العمليات بسير عمل متحكم فيه يقلل من الأخطاء واحتمال إساءة الاستخدام مع السماح بالوفاء الآلي للحساب. يجب أن يسمح نظام IAM أيضًا للمسؤولين بعرض أدوار وحقوق الوصول المتطورة وتغييرها على الفور.
يجب أن توازن هذه الأنظمة بين سرعة وأتمتة عملياتها مع التحكم الذي يحتاجه المسؤولون لمراقبة حقوق الوصول وتعديلها. وبالتالي ، لإدارة طلبات الوصول ، يحتاج الدليل المركزي إلى نظام حقوق وصول يطابق تلقائيًا المسميات الوظيفية للموظف ومعرفات وحدة الأعمال والمواقع مع مستويات الامتياز ذات الصلة.
يمكن تضمين مستويات المراجعة المتعددة كمهام سير عمل لتمكين الفحص المناسب للطلبات الفردية. يعمل هذا على تبسيط إعداد عمليات المراجعة المناسبة للوصول بمستوى أعلى بالإضافة إلى تسهيل مراجعات الحقوق الحالية لمنع زحف الامتيازات ، وهو التراكم التدريجي لحقوق الوصول بما يتجاوز ما يحتاجه المستخدمون للقيام بوظائفهم.
يجب استخدام أنظمة IAM لتوفير المرونة لإنشاء مجموعات ذات امتيازات محددة لأدوار محددة بحيث يمكن تعيين حقوق الوصول على أساس وظائف عمل الموظف بشكل موحد. يجب أن يوفر النظام أيضًا عمليات الطلب والموافقة لتعديل الامتيازات لأن الموظفين الذين لديهم نفس المسمى الوظيفي وموقع الوظيفة قد يحتاجون إلى وصول مخصص أو مختلف قليلاً.
أنواع المصادقة الرقمية
باستخدام IAM ، يمكن للمؤسسات تنفيذ مجموعة من أساليب المصادقة الرقمية لإثبات الهوية الرقمية وتفويض الوصول إلى موارد الشركة.
كلمات مرور فريدة. أكثر أنواع المصادقة الرقمية شيوعًا هي كلمة المرور الفريدة. لجعل كلمات المرور أكثر أمانًا ، تتطلب بعض المؤسسات كلمات مرور أطول أو معقدة تتطلب مجموعة من الأحرف والرموز والأرقام. ما لم يتمكن المستخدمون من جمع مجموعة كلمات المرور الخاصة بهم تلقائيًا خلف نقطة دخول تسجيل دخول واحدة ، فإنهم عادةً ما يجدون أن تذكر كلمات المرور الفريدة مرهقة.
المفتاح المشترك مسبقًا (PSK). PSK هو نوع آخر من المصادقة الرقمية حيث تتم مشاركة كلمة المرور بين المستخدمين المصرح لهم بالوصول إلى نفس الموارد - فكر في كلمة مرور Wi-Fi لمكتب فرعي. هذا النوع من المصادقة أقل أمانًا من كلمات المرور الفردية.
يتمثل أحد الشواغل المتعلقة بكلمات المرور المشتركة مثل PSK في أن تغييرها بشكل متكرر يمكن أن يكون مرهقًا.
المصادقة السلوكية. عند التعامل مع المعلومات والأنظمة شديدة الحساسية ، يمكن للمؤسسات استخدام المصادقة السلوكية للحصول على مزيد من التفاصيل الدقيقة وتحليل ديناميكيات ضغط المفاتيح أو خصائص استخدام الماوس. من خلال تطبيق الذكاء الاصطناعي ، وهو اتجاه في أنظمة IAM ، يمكن للمؤسسات التعرف بسرعة على ما إذا كان سلوك المستخدم أو الجهاز يقع خارج القاعدة ويمكنه إغلاق الأنظمة تلقائيًا.
القياسات الحيوية. تستخدم أنظمة IAM الحديثة القياسات الحيوية للمصادقة الأكثر دقة. على سبيل المثال ، يقومون بجمع مجموعة من الخصائص البيومترية ، بما في ذلك بصمات الأصابع ، وقزحية العين ، والوجوه ، والنخيل ، والمشية ، والأصوات ، وفي بعض الحالات ، الحمض النووي. تم العثور على القياسات الحيوية والتحليلات القائمة على السلوك لتكون أكثر فعالية من كلمات المرور.
عند جمع واستخدام الخصائص البيومترية ، يجب على الشركات مراعاة الأخلاقيات في المجالات التالية:
أمن البيانات (الوصول إلى البيانات البيومترية واستخدامها وتخزينها) ؛
الشفافية (تنفيذ إفصاحات سهلة الفهم) ؛
الاختيارية (تزويد العملاء بخيار الاشتراك أو عدم الاشتراك) ؛ و
خصوصية البيانات البيومترية (فهم ما يشكل البيانات الخاصة ووجود قواعد حول المشاركة مع الشركاء.
يتمثل أحد المخاطر في الاعتماد بشكل كبير على القياسات الحيوية في حالة اختراق بيانات المقاييس الحيوية للشركة ، فإن الاسترداد يكون صعبًا ، حيث لا يمكن للمستخدمين تبديل التعرف على الوجه أو بصمات الأصابع كما يمكنهم كلمات المرور أو غيرها من المعلومات غير البيومترية.
تنفيذ IAM في المؤسسة
قبل نشر أي نظام IAM في المؤسسة ، تحتاج الشركات إلى تحديد من داخل المؤسسة سيلعب دورًا رائدًا في تطوير سياسات الهوية والوصول وتنفيذها. تؤثر IAM على كل قسم وكل نوع من المستخدمين (موظف ، مقاول ، شريك ، مورد ، عميل ، إلخ) ، لذلك من الضروري أن يضم فريق IAM مزيجًا من وظائف الشركة.
يجب أن يتعرف محترفو تكنولوجيا المعلومات الذين يطبقون نظام IAM محليًا إلى حد كبير وعلى الموظفين بشكل كبير على نمط تصميم OSA IAM لإدارة الهوية ، SP-010. يحدد النموذج بنية كيفية تفاعل الأدوار المختلفة مع مكونات IAM بالإضافة إلى الأنظمة التي تعتمد على IAM. يتم فصل تنفيذ السياسة وقرارات السياسة عن بعضها البعض ، حيث يتم التعامل معها بواسطة عناصر مختلفة داخل إطار IAM.
يجب على المؤسسات التي ترغب في دمج المستخدمين من غير الموظفين والاستفادة من IAM في السحابة في بنيتها أن تتبع هذه الخطوات لبناء بنية IAM فعالة ، كما أوضح الخبير Ed Moyle:
قم بعمل قائمة بالاستخدام ، بما في ذلك التطبيقات والخدمات والمكونات والعناصر الأخرى التي سيتفاعل معها المستخدمون. ستساعد هذه القائمة في التحقق من صحة افتراضات الاستخدام وستكون مفيدة في اختيار الميزات المطلوبة من منتج أو خدمة IAM.
تعرف على كيفية ارتباط بيئات المؤسسة ، مثل التطبيقات المستندة إلى مجموعة النظراء والتطبيقات المحلية ، معًا. قد تحتاج هذه الأنظمة إلى نوع معين من الاتحاد (على سبيل المثال ، OpenID Connect لغة ترميز تأكيد الأمان).
تعرف على المجالات المحددة لـ IAM الأكثر أهمية بالنسبة للأعمال. ستساعد الإجابة على الأسئلة التالية:
هل المصادقة متعددة العوامل مطلوبة؟
هل يحتاج العملاء والموظفون إلى الدعم في نفس النظام؟
هل التوفير الآلي وإلغاء حق الوصول مطلوبان؟
ما هي المعايير التي تحتاج إلى دعم؟
يجب تنفيذ عمليات التنفيذ مع وضع أفضل ممارسات IAM في الاعتبار ، بما في ذلك توثيق التوقعات والمسؤوليات الخاصة بنجاح IAM. يجب أن تتأكد الشركات أيضًا من مركزة الأمن والأنظمة الحيوية حول الهوية. ربما الأهم من ذلك ، يجب على المنظمات إنشاء عملية يمكنهم استخدامها لتقييم فعالية ضوابط IAM الحالية.
مخاطر IAM
لا تخلو IAM من المخاطر ، والتي يمكن أن تشمل الإشراف على تكوين IAM. حدد الخبير ستيفن بيجلو خمس عمليات إشراف يجب تجنبها ، بما في ذلك التزويد غير المكتمل ، وأتمتة العمليات الضعيفة ، والمراجعات غير الكافية. وأوضح أيضًا أن الاهتمام بمبدأ الامتياز الأقل أمر ضروري لضمان الأمن المناسب.
تطرح القياسات الحيوية ، كما ذكر أعلاه ، أيضًا تحديات أمنية ، بما في ذلك سرقة البيانات. إن جمع وحفظ البيانات الضرورية فقط يقلل من هذه المخاطر. يجب أن تعرف المنظمات ما هي البيانات الحيوية التي لديها ، وما الذي تحتاجه ، وكيفية التخلص مما لا تتطلبه ، وكيف وأين يتم تخزين البيانات.
يمكن أن تكون IAM المستندة إلى السحابة مصدر قلق عندما لا يتم التعامل مع التوفير وإلغاء حق الوصول لحسابات المستخدمين بشكل صحيح ، إذا كان هناك عدد كبير جدًا من حسابات المستخدمين المعينة غير النشطة المعرضة للخطر ، وإذا كان هناك توسع في حسابات المسؤول. تحتاج المؤسسات إلى ضمان التحكم في دورة الحياة في جميع جوانب IAM المستندة إلى مجموعة النظراء لمنع الجهات الضارة من الوصول إلى هويات المستخدم وكلمات المرور.
في الوقت نفسه ، قد يتم نشر ميزات مثل المصادقة متعددة العوامل بسهولة أكبر في خدمة قائمة على السحابة مثل IDaaS أكثر من نشرها في أماكن العمل بسبب تعقيدها.
تعمل إمكانات التدقيق بمثابة فحص للتأكد من أنه عندما يقوم المستخدمون بتبديل الأدوار أو مغادرة المؤسسة ، فإن وصولهم يتغير وفقًا لذلك.
يمكن لمتخصصي تكنولوجيا المعلومات متابعة شهادات الأمان الخاصة بـ IAM وشهادات الأمان الأوسع نطاقًا ليكونوا قادرين على تقييم الوضع الأمني لمؤسستهم ودرء التهديدات. اقرأ هذه المقارنة لأعلى شهادات IAM.
بائعي ومنتجات IAM
يتنوع موردو IAM من الشركات الكبيرة - مثل IBM و Microsoft و Oracle و RSA - إلى موفري التشغيل الخالص - مثل Okta و Ping و SailPoint. يتطلب اختيار أفضل منتج أو خدمة IAM لمؤسستك عملًا قانونيًا لتحديد الميزات التي تلبي احتياجاتك ، مثل الإدارة المركزية وتسجيل الدخول الأحادي والحوكمة والامتثال وتحليلات المخاطر. تحقق من قائمة البائع والمنتج والميزات لعام 2020 IAM.
اقرأ أيضًا كيف تتنافس Okta مع عمالقة Microsoft و Google من خلال عروض IAM بدون كلمة مرور. تتمثل إستراتيجية Okta في تنفيذ عوامل غير متعلقة بكلمة المرور جنبًا إلى جنب مع الوصول السياقي ، بهدف تحسين تجربة المستخدم.
IAM والامتثال
من السهل الاعتقاد بأن الأمن المحسن هو ببساطة عملية تكديس المزيد من العمليات الأمنية ، ولكن كما كتب كاتب فريق العمل شارون شي والخبير راندال غامبي ، فإن الأمن "يتعلق بإثبات أن هذه العمليات والتقنيات توفر بالفعل بيئة أكثر أمانًا".
تفي IAM بهذا المعيار من خلال الالتزام بمبدأ الامتياز الأقل ، حيث يُمنح المستخدم فقط حقوق الوصول الضرورية للوفاء بواجبات عمله ، وفصل الواجبات ، حيث لا يكون شخص واحد مسؤولاً عن كل مهمة. من خلال مزيج من التحكم في الوصول المحدد مسبقًا وفي الوقت الفعلي ، تمكّن IAM المؤسسات من تلبية متطلباتها التنظيمية وإدارة المخاطر والامتثال.
تتمتع تقنيات IAM الحديثة بالقدرة على تأكيد امتثال المؤسسة للمتطلبات الحرجة ، بما في ذلك HIPAA ، وقانون Sarbanes-Oxley ، وقانون الخصوصية والحقوق التعليمية للأسرة ، وإرشادات NIST ، من بين أمور أخرى.
خارطة طريق IAM
الابتكار وفير حول IAM ، والشركات هي المستفيدة من الاستراتيجيات الجديدة التي تدعمها المنتجات والميزات.
تم تصميم العديد من تقنيات IAM الناشئة لتقليل المخاطر عن طريق الاحتفاظ بمعلومات التعريف الشخصية مع مالك المعلومات - وليست موزعة عبر قواعد البيانات المعرضة للانتهاكات والسرقة.
على سبيل المثال ، يمكّن إطار الهوية اللامركزي الأفراد من الحفاظ على السيطرة على هوياتهم وإدارتها. يمكن للأفراد إملاء كيفية ومكان مشاركة بياناتهم الشخصية ، مما يقلل على الأرجح من مخاطر الشركة ومسؤوليتها.
في قلب هذا الإطار وغيره من الإطار الذي يهدف إلى منح المستخدمين مزيدًا من السلطة على بياناتهم ، توجد تقنية blockchain ، التي تسهل التبادل الآمن للبيانات بين الأفراد والأطراف الثالثة.
تعتبر الرعاية الصحية حالة استخدام مثالية لـ blockchain ، حيث إن الافتقار إلى إمكانية التشغيل البيني بين الأنظمة والكيانات يحد بشكل لا يصدق. تعمل تقنية Blockchain على تحسين مشاركة السجلات وتدعم المزيد من ضوابط المريض.
تتجه بعض المنظمات نحو نهج "جلب هويتك" أو BYOI إلى IAM. مثل تسجيل الدخول الفردي ، يقلل BYOI من عدد أسماء المستخدمين وكلمات المرور التي يحتاج المستخدمون إلى تذكرها ، مما قد يؤدي إلى تقليص مشهد الثغرات الأمنية. ما يمكن أن يفعله BYOI للمؤسسة هو تمكين الموظفين من الوصول إلى التطبيقات خارج المؤسسة باستخدام هويات الشركة. على سبيل المثال ، يمكن للموظفين تسجيل الدخول إلى برنامج إدارة المزايا للتحقق من التغطية التأمينية أو مراجعة محفظة 401 (ك) الخاصة بهم.